Nenechte se nachytat na phishing: Jak rozumět internetovým doménám – Pratum

Kyberzločinec s e-mailovou phishingovou kampaní

Phishing je tu už dlouho a nejnovější čísla indexů ukazují, že jej útočníci s nadšením využívají.

Infoblox DNS Threat Index, Q2 Quarterly Report 2015

Koncoví uživatelé sítě jsou jako obránci v první linii kritickou součástí programu zabezpečení informací organizace. V posledních několika letech se mezi témata informovanosti a školení koncových uživatelů sítě zařadil phishing, a to jak kvůli jeho rozšířenosti, tak kvůli stále sofistikovanějším metodám, které phisheři používají k nalákání obětí. Když naši konzultanti vyhodnocují rizika v rámci organizace a diskutují s nimi o jejich úsilí v oblasti povědomí o phishingu a školení, můžeme se setkat s pokyny typu „neklikejte na podezřelé odkazy“ a „přejeďte ukazatelem myši přes odkazy v e-mailu, abyste zkontrolovali, zda je legitimní“. Jak však vyhodnotit, zda odkaz a s ním spojená adresa URL (Uniform Resource Locator) vede na legitimní web, nebo ne?

Aby člověk mohl vyhodnotit odkazy a adresy URL, měl by rozumět generickým doménám nejvyšší úrovně (gTLD), doménám s kódem země (ccTLD) a dalším typům internetových domén. Za tímto účelem poskytuje tento článek několik informací na vysoké úrovni o čtení a interpretaci odkazů/URL.

Krátká historie generických domén nejvyšší úrovně

Všichni jsme si zvykli na gTLD. Téměř denně používáme gTLD, včetně těch nám nejznámějších, jako jsou .com, .gov a .edu. Jsou klíčovou součástí struktury internetu. Jsou také dobře známé phisherům, kteří manipulují s adresami URL za účelem podvodného použití. Abychom mohli co nejlépe posoudit odkazy v e-mailech i adresy URL v prohlížečích, je dobré vědět, jak se jednotlivé domény vyvíjely a jak fungují.

V roce 1984 byly v dokumentu Request for Comments (RFC) 920 definovány původní „domény pro všeobecné účely“ – .com, .gov, .mil, .edu a .org. Další doména, .net, byla přidána na začátku roku 1985 a je také považována za jednu z „původních“ domén. V roce 1988 byla přidána doména .int (international) na základě požadavku Organizace Severoatlantické smlouvy. V průběhu let byly přidány další domény, například .biz a .info (2001). Do začátku roku 2011 bylo založeno 22 gTLD. V červnu 2011 odhlasovala organizace ICANN (Internet Corporation for Assigned Names and Numbers) zrušení mnoha omezení týkajících se žádostí o gTLD a jejich zavádění, čímž fakticky otevřela dveře pro používání téměř jakékoli gTLD. Podle nových pravidel bylo v květnu 2015 zaregistrováno a schváleno k používání na internetu více než 600 gTLD, včetně nových gTLD, jako jsou .auto, .computer, .network, .social, .pizza, .organic. Podle některých bezpečnostních expertů je tento vývoj v oblasti gTLD považován za dar pro phishery, protože jim umožní vytvářet množství nových phishingových webových stránek. Úplný seznam rozšířených gTLD naleznete v databázi kořenových zón úřadu IANA (Internet Assigned Numbers Authority) (https://www.iana.org/domains/root/db).

Kódy zemí TLD

Kódy zemí TLD jsou také součástí mnoha adres URL, a proto lze očekávat, že se s nimi v odkazech občas setkáme. Země mají ccTLD, které pomáhají rozlišit, v jaké zemi je web registrován nebo z jaké země pochází. Například ccTLD pro Spojené státy, .us, často používají státní a místní úřady. Dalšími příklady ccTLD jsou Austrálie, .au; Japonsko, .jp; a Spojené království, .uk. Při čtení odkazu nebo adresy URL si uvědomte, že umístění ccTLD v rámci adresy URL se může posouvat (na konci adresy URL, například http://www.gov.uk, nebo dříve v adrese URL, například https ://uk.news.yahoo.com).

Víte, že?

Padesát čtyři zemí se rozhodlo povolit používání svých ccTLD pro komerční účely. Například .co, ccTLD pro Kolumbii, lze používat místo .com. Je velmi populární vzhledem k rozrůstající se doméně .com a umožňuje podnikům alternativní způsoby tvorby názvů webových stránek.

Viděli jste adresu URL http://o.co? To je Overstock.com, který vám poskytuje alternativní způsob, jak se na společnost dostat prostřednictvím prohlížeče.

Možná jste viděli youtu.be. To je legitimní adresa URL registrovaná společností Google pomocí belgické ccTLD .be.

Velká část zábavního průmyslu používá ccTLD Tavalu, .TV. Pro ostrovní stát je to skvělý způsob, jak vydělat peníze.

Pokud se snažíte určit, zda je stránka legitimní, uvědomte si, že mnoho ccTLD se používá také ke komerčním účelům. To, co vypadá jako podezřelý web, může být ve skutečnosti legitimní. Nicméně ccTLD mohou být také použity k vytvoření názvů pro podvodné stránky, takže když máte pochybnosti, neklikejte!“

Jak se tvoří odkazy/URL

Jaký je tedy klíč ke čtení URL v odkazech? Základní odpověď zní, že v rámci odkazu se důležité věci nacházejí mezi dvojitým dopředným lomítkem „//“ a prvním jednoduchým lomítkem, především ve zvýrazněné oblasti uvedené níže. Chcete-li interpretovat adresu URL, přejděte na první jednoduché lomítko vpřed a odtud se vraťte zpět. Za prvním lomítkem vpřed jsou uvedeny věci jako adresáře, podadresáře, názvy souborů a typy souborů.

Struktura odkazu/URL

Poznámka: Výše uvedený rámec je základním členěním URL. Místo http:// nebo https:// můžete vidět ftp://, gopher:// nebo news://. Jedná se o různé typy přenosových protokolů. Kromě toho, i když se www nachází v mnoha adresách URL, není to povinná součást. Před názvem gTLD a sekundární domény/serveru se mohou objevit další pole. Za prvním lomítkem vpřed se mohou zobrazit pole označující data nebo jiné informace sloužící k identifikaci zdroje.

Příklad odkazů/URL

Teď, když jsme vyzbrojeni základními informacemi, podívejme se na několik příkladů.

  1. Jsme poměrně zvyklí vídat a používat komerční stránky, jako např: http://www.amazon.com

    Tento web je dobře známý a adresa URL neobsahuje žádné podezřelé úpravy.
    Posouzení:

  2. URL mohou být tvořeny téměř libovolným způsobem. Díky tomu mohou majitelé stránek snadno vytvářet jedinečné názvy stránek. Totéž usnadňuje i phisherům, což znamená, že mohou vytvářet názvy webů, které se velmi blíží názvům legitimních webů. Podívejte se například, co s názvem webu dokáže udělat jednoduchá tečka: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart

    Pokud by člověk kliknul na výše uvedený odkaz, místo na web amazon.com by byl přesměrován na web zon.com, což by mohl být web registrovaný phishery.
    Zhodnocení:

  3. A co tento odkaz? http://This E-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript./catalog

    V tomto případě by byl člověk přesměrován na IP adresu 66.161.153.155, nikoliv na amazon.com. Pokud uvidíte odkaz/URL se znakem „@“, buďte obzvláště opatrní. Tuto taktiku manipulace s adresou URL běžně používají phisheři.
    Zhodnocení:

  4. Co když v odkazu uvidíte tuto adresu URL? http://209.131.36.158/amazon.com/index.jsp

    Tato adresa URL má poněkud podobnou funkci jako adresa URL v bodě č. 3 výše. Osoba by byla přesměrována na IP adresu, nikoli na amazon.com, která je uvedena za prvním jednoduchým lomítkem vpřed.
    Posouzení:

  5. Co když uvidíte adresu URL podobnou té, která je uvedena níže, nebo když sledujete načítání webové stránky, uvidíte v řádku URL něco podobného? http://www.google.com/url?q=http://www.badsite.com

    Tento příklad ukazuje adresu URL, která by odkazovala osobu z jedné stránky (v tomto případě google.com) na jinou stránku, badsite.com (všimněte si pojmenování „=http://“, které to umožňuje). Odkazy samy o sobě nejsou špatné, ale odkaz může vést na podvodný web. V tomto případě stránka badsite.com nevypadá jako legitimní.
    Posouzení:

  6. Víte, že?

    Navštívíte webovou stránku a v adrese URL uvidíte „www1“ nebo „www2“ (nebo jiné číslo). Co to znamená? Některé webové stránky mohou být velmi populární, a proto na nich pracuje více serverů v konfiguraci vyrovnávání zátěže, aby na vyžádání poskytly obsah. Některé společnosti se rozhodnou své servery očíslovat. Pokud tedy vidíte www1 nebo www2 (nebo jiné www#), vidíte pouze, který server # z více serverů poskytuje obsah. Pokud jde o phishing, vidění www1, www2 atd. není samo o sobě indikátorem phishingového webu.

    Aby uživatelům pomohly rychle určit domény nejvyšší úrovně a sekundární domény v rámci adresy URL, začaly některé společnosti a organizace používat „zvýraznění domén“. Když uživatel navštíví web, část adresy URL se po několika sekundách ztmaví a domény nejvyšší úrovně a sekundární domény zůstanou tmavé. Například:

    Doména PayPal

    Vždy je dobré hledat známky legitimního a zabezpečeného webu: uzavřený visací zámek, https:// a název společnosti zvýrazněný zeleně v rámci adresy URL (jako například v příkladu PayPal výše). Pokud platnost certifikátu webu vypršela nebo je jinak neplatný, některé prohlížeče, například Internet Explorer a Firefox, nebo bezpečnostní služby uživatele upozorní. Člověk se může ptát, zda je bezpečné přes toto varování pokračovat. V takovém případě použijte další dostupné ukazatele (znovu si prohlédněte adresu URL), které vám pomohou určit, zda je web legitimní. V případě pochybností nepokračujte.

    Závěr

    Phishing je nadále celosvětovým problémem, který zhoršují uživatelé, kteří si nejsou vědomi taktiky phishingu, stále sofistikovanější metody phishingu a nyní i rostoucí soubor obecných domén nejvyšší úrovně. Ačkoli odkazy v e-mailech nejsou jedinou metodou, kterou phisheři používají, je velmi častá. Pro snížení rizik, která phishing představuje, je nutné vědět, jak odkazy a související adresy URL interpretovat.

    Pokud máte zájem dozvědět se více o sociálním inženýrství, informovanosti a školení a službách v oblasti hodnocení rizik, kontaktujte nás ještě dnes.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.